El equipo investigador de Red Hot Cyber, incluyendo al anónimo S.D., el tester de penetración y programador Davide Cavallini, y el analista de ciberseguridad Davide Santoro, descubrieron que el enlace del correo electrónico redirige a un sitio web que aloja un documento PDF falso, simulando un pedido protegido por contraseña. Un análisis más detallado reveló que el enlace realiza una redirección a través de JavaScript, indicando un ataque XSS (Cross-Site Scripting) persistente donde se ejecuta código dañino dentro del navegador del visitante.
La investigación del código JavaScript mostró que recopila datos del usuario a través de una API hacia otro sitio WordPress iraní. Esta estrategia de ataque no solo representa una amenaza directa para los usuarios que interactúan con el correo electrónico de phishing, sino que también destaca vulnerabilidades significativas en los sistemas de TI de algunas empresas italianas, exponiéndolas a posibles ataques Man-in-the-Middle (MITM).
“Balada Injector” explota una vulnerabilidad conocida, CVE-2023-6000, en el plugin de WordPress Popup Builder, realizando ataques XSS para comprometer sitios web objetivo. Red Hot Cyber recomienda diversas medidas preventivas para defenderse de estos ataques de phishing, incluyendo la educación de los usuarios, la utilización de software de seguridad, actualizaciones regulares de plugins y bibliotecas, y la implementación de políticas de seguridad estrictas.
La posible implicación de MuddyWater, un APT iraní activo desde 2017 conocido por el espionaje cibernético utilizando tanto herramientas disponibles gratuitamente como malware desarrollado específicamente, requiere una evaluación cuidadosa y acciones inmediatas para proteger los datos sensibles y mitigar los riesgos para la integridad de las operaciones comerciales italianas.
Source: Red Hot Cyber
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.